Venus Protocol 在供應上限操縱後疑遭 370 萬美元攻擊

去中心化借貸平台 Venus Protocol 正在調查一起疑似漏洞攻擊事件,該事件可能從其 BNB Chain 上的核心池中竊取了超過 370 萬美元的數位資產。

該事件是在鏈上數據標記出與錢包地址 0x1a35…6231 相關的異常借貸活動後曝光的。該地址在利用大量 THE 代幣作為抵押品後,成功提取了包括約 20 BTC、150 萬 CAKE 和約 200 BNB 在內的多種資產組合。

根據早期分析,攻擊者使用抵押品從協議中借入了多種資產,包括 CAKE、BTCB 和 BNB。在清算事件開始之前,借入資產的總價值超過了 370 萬美元。

截至撰稿時,數千萬用作抵押品的 THE 代幣正在被清算,這表明協議的風險機制已經啟動。

Venus 團隊已確認此情況,並表示在調查持續進行的同時,已採取了多項預防措施。

攻擊目標為供應上限控制

該漏洞似乎圍繞著 Venus 核心池內 THE 代幣市場的供應上限操縱展開。

供應上限旨在限制特定資產在借貸市場中的使用量。它們作為一種保護措施,防止對單一代幣的過度曝險。

然而,在這種情況下,攻擊者設法繞過了該限制。

作為預防措施,Venus 已暫停 THE 的借貸和提款。該團隊還暫停了幾個流動性集中可能帶來額外風險的市場活動。

暫停的市場包括:

•  BCH
•  LTC
•  UNI
•  AAVE
•  FIL
•  TWT

儘管出現了干擾,Venus 澄清協議上的大多數其他市場仍保持完全運作。

追蹤該事件的安全研究人員認為,此次漏洞攻擊並非自發性的。相反,它似乎是在數個月內經過規劃並分多個階段執行的。

數月的悄然累積

此次漏洞攻擊中較為引人注目的細節之一是準備階段持續的時間之長。

鏈上數據顯示,攻擊者早在 2025 年 6 月就開始累積 THE 代幣。

該錢包並未一次性進行大量購買,而是在九個月的時間內逐步建立其持倉。到攻擊展開時,該地址已累積了 Venus 上該代幣供應上限的約 84%,即 1,450 萬 THE。

在漏洞攻擊當天的 11:00 UTC(19:00 UTC+8),該錢包已向協議提供了 1,220 萬 THE,完全在允許的限制範圍內。

當時該持倉沒有任何異常之處,這可能解釋了為什麼該活動在很大程度上直到後來才被注意到。

真正的突破出現在攻擊者找到了一種方法,可以將該持倉擴大到遠超上限。

繞過供應上限

攻擊者沒有使用標準的存款流程,而是直接將代幣轉移到 Venus 協議合約中。

透過這樣做,他們成功繞過了通常執行供應上限的系統。

這使得該錢包能夠在很短的時間內大幅增加其抵押品持倉。

時間線顯示事態升級的速度:

•  11:00 UTC(19:00 UTC+8):提供 1,220 萬 THE(在上限內)
•  12:00 UTC(20:00 UTC+8):提供 4,950 萬 THE(超過上限 3 倍)
•  12:42 UTC(20:42 UTC+8):提供 5,320 萬 THE

到 12:42 UTC(20:42 UTC+8),攻擊者已建立了總計 5,320 萬 THE 代幣的龐大抵押品持倉,約為協議預期上限的 3.67 倍。

有了如此龐大的抵押品基礎,攻擊者便可以開始從平台借入資產。

遞迴借貸推高 THE 價格

在建立了超額抵押品持倉後,攻擊者進入下一階段,透過遞迴借貸循環操縱代幣價格。

該策略遵循一個重複的循環:

存入 THE → 借入資產 → 購買更多 THE → 等待預言機更新 → 增加抵押品價值 → 重複

由於 THE 的鏈上流動性相對較低,即使適度的購買也會對其價格產生明顯影響。

隨著循環的繼續,該代幣的預言機價格急劇上升。數據顯示,在攻擊期間價格從約 0.27 美元上漲到接近 0.53 美元。

這種人為的價格上漲提升了攻擊者抵押品的價值,進而使他們能夠從協議中借入更大量的資產。

然而,一旦操縱結束並開始清算,價格迅速反轉,降低到約 0.24 美元。

借入資產達到數百萬

在漏洞攻擊的高峰期,記錄在 12:42 UTC(20:42 UTC+8)左右的區塊 86738236,攻擊者的持倉已大幅增長。

該錢包已提供 5,320 萬 THE 代幣作為抵押品。

以該抵押品為基礎,攻擊者從 Venus 借入了多種資產,包括:

•  667 萬 CAKE
•  2,801 BNB
•  1,970 WBNB
•  158 萬 USDC
•  20 BTCB

調查人員還識別出第二個相關地址(0x737b)在操作中扮演了角色。

該錢包早先存入了 158 萬 USDC 作為抵押品,並在 11:55 UTC(19:55 UTC+8)發起主要攻擊的同一筆交易中借入了 463 萬 THE 代幣。

該次要持倉的清算在不久後開始,大約在 12:04 UTC(20:04 UTC+8)左右。

Venus 回應,調查持續進行

在發現該漏洞後,Venus 團隊迅速採取行動以限制潛在損害。

協議暫停了 THE 市場以及其他幾個有風險的市場,同時確認平台的大部分區域未受影響。

開發人員表示,他們現在正與安全合作夥伴和研究人員密切合作,以全面了解發生了什麼。

該團隊還承諾在調查完成後發布詳細的事後報告。

根據協議,即將發布的報告可能包括技術修復和安全改進,特別是圍繞預言機機制和供應上限執行方面。

雖然此類事件在去中心化金融中並不新鮮,但它們突顯了協議在試圖平衡開放訪問與強大風險控制時面臨的挑戰。

目前,重點仍然是穩定受影響的市場並防止未來發生類似的漏洞攻擊。

免責聲明:這不是交易或投資建議。在購買任何加密貨幣或投資任何服務之前,請務必自行研究。

在 Twitter 上關注我們 @nulltxnews 以獲取最新的加密貨幣、NFT、AI、網路安全、分散式運算和 元宇宙新聞!